曾敏用力掐了一下自己大腿,有痛感,一切都是真的。这天是她被网络诈骗的第三天,但她一直像停留在一个可怕的梦里,走不出来。
2月14日凌晨,有人申请添加曾敏的QQ好友,她没多想,以为是可能认识的人,就通过了对方的申请。对方随即发给她几个文件夹,她打开一看,里面全是她的个人信息,有通讯录、私密照片、手机里的工作文件等重要内容。
“就像衣服被扒光了一样。”曾敏说,她想不明白哪个环节出了错,自己的信息会被这样泄露。在对方的威胁之下,她在半小时内给对方转了十几万块钱。
在曾敏被诈骗的两天前,2月12日晚上,45亿条个人信息泄露的消息在网络上流传。这些数据主要为网购用户的个人快递信息,包括真实姓名、电话与住址等信息,并且出现公开查询渠道。
刘前伟是数据安全专家,从事信息安全二十多年,每个月,他要帮公司的客户处理五六件重大数据泄露事件,查找泄露的原因以及给出保障系统安全的建议。在他看来,国内数据安全仍然面临着合规落地滞后、重要数据针对性防护缺失、缺乏全方位风险感知等严重问题。
一次淘宝消费记录、一张快递外卖订单、一次招聘网站登记,一场校园招聘公司信息统计……在每一个动向的终端,也许都有一张看不见的网在围猎个人隐私。这些个人信息流向网络世界的每个角落,最后可能变成一把刺向自己的利剑。
“为什么是我”
“为什么是我?”
这是曾敏几天来不断问自己的问题,她睡不着吃不下,“难受得恶心想吐”,每天浑浑噩噩,满脑子都是骗子和被骗的钱。23岁的曾敏在政府单位工作,这被骗走的十几万元里,有一部分是她三年来省吃俭用存下来的钱,“就这样突然没了”。
那天凌晨,还没来得及反应,对方直接通过QQ打语音电话给她,她接了。对面是一个男人的声音,说着一口不标准的普通话。男人直接表明来意,自己只想要钱。如果给他转钱,他就把这些东西删干净;如果不转,他就把曾敏的信息全部泄露出去。
曾敏大脑一片空白,心里很害怕。她的第一反应是报警求助,但是对方能实时监控她的手机,并威胁她说如果报警,他就马上给她的家人和领导打电话。 “他真的马上拨通了我领导的电话。”
在QQ语音通话里,曾敏记得男人说出了这个领导的名字,并听出是领导的声音。她当时就慌了,很害怕他把手机里面的信息泄露出去。
对面的人开始引导她转账过去,等她把自己的几万积蓄转过去后,又让她找家人朋友借钱和贷款。“我就真的全按照他说的做了。像是有什么魔力一直牵引着我的恐惧。”
转完这些钱后,对方还让她想办法再给他转五千,“我实在拿不出来了就把电话挂了,但是又害怕他再给我打过来,就把他QQ删了。” 曾敏回忆。
曾敏留下了转账记录和借款记录,有收款人的姓名,她报了警,以为凭借这些信息就能找到人。但警察告诉她,身份证和银行卡很可能是骗子买来的,就算找到用户本人也没用,“而且看他们那么专业,估计人不在国内”。
绝望之下,曾敏把被骗的事情告诉了父母,“他们这个年纪的人对网络诈骗的高级骗术根本没有概念,也不理解为什么我会被骗,更不能接受这个钱找不回来了。”一个人的时候,曾敏躲在房间里哭。她每天刷着各种和她有相似经历的网络文章,从里面获得“一丝丝安慰和找寻一点点希望。”
信息安全专家高雪峰的客户中也有曾敏这样的情况。违法者发过来的文件或者链接,一般带有木马病毒,只要点开就会中毒,电脑或者手机便被远程控制。对方通过这种方式,盗走手机和电脑里的私密信息,再骗取财物。
高雪峰在个人信息安全领域做了11年,他现在是一家网络安全科技公司的创始人,主要负责政企方面的信息安全。在他看来,移动互联网时代,人们基本上支付、购物、沟通聊天都是通过移动设备,个人信息的泄露风险和应对的挑战越来越大。虽然相关的法律陆续出台,“但是使用网络的很多人安全意识不强”。
高雪峰说的相关法律是,近年来国家相继出台的《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等。
但是对于曾敏来说,这些法律是陌生的。她听说过有保护个人信息相关的法律,但总觉得离自己很遥远,更没有想过自己会被个人信息反噬。
明码标价的买卖
和曾敏一样,很多人不知道,在一些网络平台上,原本是隐私的个人信息成了明码标价的商品。
在一些社交软件群里,包括户籍、手机号、定位、查人查档、财产调查、开房记录、流水等在内的用户信息被公开售卖。
澎湃新闻潜入的一个售卖群中,如果只查询个人基本信息,包括身份证,姓名和地址,价格700元/次,并称这个价格是最低的代理价。如果想要成为他的代理,需要转给他5000元的代理费。
一位信息售卖者说,他们在微信或者QQ等国内平台上没有个人信息交易的业务,业务目前全部都在海外的社交软件上进行,但是转账主要通过支付宝账户。
“由于目前泄露信息的量比较多,不法分子将各种数据做了大数据集合。在其中输入相应的需求,系统会自动将相关信息搜索出来。”从事信息安全工作的王泽说。
不仅仅是一些海外的社交软件,暗网中的个人数据交易量更是不计其数。暗网又被称为隐藏网(Hidden Web),普通用户无法通过常规互联网手段搜索和访问,它的设计让用户身份高度隐密,暗网社群之间也不能互通。这些泄露出来公开出售的信息,包括政府机构公民信息;银行、证券等金融机构的客户信息;各大电信运营商的机主以及互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户信息。
暗网上的信息交易2月18日,当记者追踪暗网相关讨论帖,进入以某海外社交软件为主的信息查询和交易群组时,发现此类群组每个群里都有上万人参与,24小时内持续活跃人数在一千左右。
信息售卖群组人工付费查询价格主页
在这些信息交易的群里,平均每十秒就有一个新用户进群,其中不仅有查询信息者,还有意欲批量提供隐私信息,寻求长期合作的从业者。一些群组提供地址找人、关联人物、身份户籍、手机机主、开房记录、快递地址、贷款记录、车牌车主、个人常用密码、手游及社交网络账号密码,同名联系方式等服务,凡是实名制登记过的个人隐私,只要付费,都能在一定时限内,把需要的信息查找出来。甚至有售卖者表示可以通过手机号定位机主行踪,而此类条目在群组中被标记为“娱乐用”。
某信息交易群除了此类人工收费服务,在暗网中隐私查询网站四处遍布,无数个人信息滚雪球般被人消费,偷窥,窃取。
对于这种在外网上进行个人信息交易的行为,云南凌云律师事务所主任孙文杰认为,“任何个人或单位,如违反国家有关规定,不论通过何种形式出售或提供公民个人信息,均构成侵犯公民个人信息罪。”
按照《刑法》第二百五十三条之一“侵犯公民个人信息罪”的规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
社交平台上的信息交易另外,信息贩卖商通过境外社交软件和暗网等方式交易往往会隐藏IP地址,无法准确归属于哪个省份或城市进行监管,存在调查、取证困难等问题,倒卖的个人信息又用于其他类型的违法犯罪行为,如电信诈骗。
根据奇安信情报中心的监测发现,仅仅是2022年1月到10月,就有超过950亿条的中国境内机构数据在海外被非法交易,其中60%是公民个人信息,约有570多亿条,这就相当于14亿中国人,在2022年的头十个月里,平均每人泄露了41条个人信息。
对于如何管控上述违法犯罪行为,孙文杰建议,一方面,通过技术手段监管浏览登录境外隐私交易网站的路径和行为,加强此类案件的日常监管;另一方面,应设立国家级的监管和处置平台,加强国际合作,织密全球监管网络。
“数据资产在网上裸奔”
一个隐私查询网站上写着一句“隐私已死,看开些。”王泽不同意这个说法,他说,人们需要隐私,也需要安全。
前几天,高雪峰看到有45亿条个人信息泄露的消息后,他在暗网上用自己的电话号码一查,发现自己购买过的快递情况,家庭住址都暴露无遗。 “这种网络传输都是加密的,很难找到是谁干的,可能人在国外,即便能定位到,也不一定能抓到。”高雪峰认为很难追查到泄露者。
在数据售卖者那里,各种信息都可以被交易,即便只是一个名字。王泽说,另一个例子是机票,不法者拿到机票截图,就可以追踪到哪个人,坐哪架飞机等详细信息,“危害就很大”。
在高雪峰看来,个人信息最后都是落在企业的数据防护上面。一个企业提供的不管是c端的数据,还是c端的服务,最后都可能产生大量的个人信息数据,可能会被黑客攻击或偷走。还有一种泄露的可能是,企业内部人员偷窃数据,售卖获利的“也很多”。
在现实生活中,不少App在未经授权或者越权的情况下采集用户信息作公司客群画像的分析,或者转卖给其他公司获利。
一些应用会“偷听”你的聊天或者“偷看”用户的搜索偏好。 “这其实也是一种个人信息的泄露。一些APP可能授权让你开启了麦克风的权限,语音识别捕捉到关键字后做后台的运算。”高雪峰说。
“很多企业没有体系规划,没有能力覆盖到需要保护的数据资产上。”刘前伟说。客户找到他,说数据泄露了。刘前伟就成立“专案组”,“要向医生一样去诊断”,是网络问题还是账号问题,有哪些暴露面,别人通过什么途径可以获取这些信息。
在他的客户里,很多数据已经泄露出去很长时间,或者有人已经在暗网上兜售这些数据,“这些机构才发现”, “数据资产像在互联网上裸奔”。
在高雪峰的客户里,曾经有人被远程操控手机,把手机银行里的钱都转走。“他的密码是怎么泄露出去的呢?”高雪峰提醒,很多人习惯使用同一密码,如果登录过不安全的网站,违法者就能借此获取信息。
不完美的系统
为了防止个人信息在网上泄露,高雪峰通常会在不同情况使用多个密码,尤其是跟支付相关的,设置较为复杂的密码。
王泽的日常工作是保障一个网络系统的数据安全,如果有非法请求使用个人数据,他需要出一些策略拦截非正规途径的请求。
多年来,他处理过一些恶意软件、为法庭案件收集过取证信息、在计算机系统中追捕过黑客、研究了海量的日志数据、使用和维护了各种安全工具。
在他看来,这个信息纷繁的庞大系统是很难尽善尽美的, “不要完全指望企业能完全保护好你的数据,个人的信息安全意识是最重要的。”
具体来说,他从来不在网购平台上留下真实名字和详细地址,快递送来时,他直接选择放在快递柜。如果一些平台需要授权电话号码,他通常会拒绝使用。他注册了一个专门接收各种验证码的邮箱,同时用虚拟电话号码注册各种网络信息。“就个人信息来说,能不授权就不授权,因为它会共享给第三方,很多人不会去看隐私协议里写了什么。”
北京蓝秦律师事务所主任李文谦建议,不要在网络上随意填写调查问卷,不在来源不明网站注册,不点击不明短信链接,不扫来源不明的二维码,不在各类社交软件上暴露过多信息,慎连来源不明的wifi,不贪小便宜而下载不明app。
经历这次诈骗后,曾敏卸载了聊天软件。在她被诈骗的第五天,她的贴文下面成了一个树洞,和她有相同经历的人述说着自己被骗的事。她反过去安慰和她一样的受害者,“都是骗子的错,以后保护好自己的个人隐私”。
曾敏的帖文下面,有跟她一样遭遇的人留言
(为保护受访者隐私,曾敏、王泽为化名。)